Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Databricks

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Databricks. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi Azure Databricks.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje , które nie mają zastosowania do usługi Azure Databricks, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Databricks całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń usługi Azure Databricks.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Databricks, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Analiza, magazyn
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: domyślne wdrożenie usługi Azure Databricks to w pełni zarządzana usługa na platformie Azure: wszystkie zasoby płaszczyzny danych, w tym sieć wirtualna, z którą będą skojarzone wszystkie klastry, zostaną wdrożone w zablokowanej grupie zasobów. Jeśli jednak potrzebujesz dostosowania sieci, możesz wdrożyć zasoby płaszczyzny danych usługi Azure Databricks we własnej sieci wirtualnej (iniekcja sieci wirtualnej), co umożliwi zaimplementowanie niestandardowych konfiguracji sieci. Możesz zastosować własną sieciową grupę zabezpieczeń z regułami niestandardowymi do określonych ograniczeń ruchu wychodzącego.

Dokumentacja: Integracja z siecią wirtualną usługi Databricks

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usług Azure Load Balancers.

Dokumentacja: Sieciowa grupa zabezpieczeń

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: klienci usługi Azure Databricks mogą używać funkcji list dostępu do adresów IP, aby zdefiniować zestaw zatwierdzonych adresów IP, aby uniemożliwić dostęp do publicznego adresu IP lub niezatwierdzonych adresów IP.

Dokumentacja: lista dostępu do adresów IP w usłudze Databricks

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: usługa Azure Databricks jest automatycznie konfigurowana do korzystania z logowania jednokrotnego usługi Azure Active Directory (Azure AD) w celu uwierzytelniania użytkowników. Użytkownicy spoza organizacji muszą ukończyć proces zaproszenia i zostać dodani do dzierżawy usługi Active Directory, zanim będą mogli zalogować się do usługi Azure Databricks za pośrednictwem logowania jednokrotnego. SCIM można zaimplementować w celu zautomatyzowania aprowizacji i anulowania aprowizacji użytkowników z obszarów roboczych.

Omówienie logowania jednokrotnego dla usługi Azure Databricks

Jak używać interfejsów API SCIM dla usługi Azure Databricks

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w przypadku usług, które nie obsługują tożsamości zarządzanych, użyj usługi Azure Active Directory (Azure AD), aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Skonfiguruj jednostki usługi przy użyciu poświadczeń certyfikatu i wróć do wpisów tajnych klienta na potrzeby uwierzytelniania.

Dokumentacja: Jednostka usługi w usłudze Databricks

IM-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Ponadto usługa Azure Databricks obsługuje listy dostępu do adresów IP w celu zwiększenia bezpieczeństwa dostępu do aplikacji internetowej i interfejsu API REST.

Listy dostępu do adresów IP w usłudze Databricks

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Dostęp warunkowy w usłudze Databricks

IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: usługa Azure Databricks obsługuje również zakres wpisów tajnych przechowywanych (wspieranych przez) zaszyfrowaną bazę danych należącą do usługi Azure Databricks i zarządzaną przez usługę Azure Databricks.

Zakresy oparte na usłudze Databricks

Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak azure Key Vault, zamiast osadzania ich w plikach kodu lub konfiguracji.

Dokumentacja: integracja Key Vault w usłudze Databricks

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.

PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: interfejsy API SCIM usługi Azure Databricks umożliwiają zarządzanie użytkownikami w obszarze roboczym usługi Azure Databricks i udzielanie uprawnień administracyjnych wyznaczonym użytkownikom.

Jak używać interfejsów API SCIM

W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do różnych obiektów obszaru roboczego.

Kontrola dostępu w usłudze Databricks

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Jak zarządzać kontrolą dostępu w usłudze Azure Databricks

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.

Dokumentacja: Skrytka klienta

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Szyfrowanie danych przesyłanych

Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: domyślnie dane wymieniane między węzłami procesu roboczego w klastrze nie są szyfrowane. Jeśli środowisko wymaga szyfrowania danych przez cały czas, możesz utworzyć skrypt init, który konfiguruje klastry do szyfrowania ruchu między węzłami procesu roboczego.

Wskazówki dotyczące konfiguracji: włącz bezpieczny transfer w usługach, w których wbudowane są natywne dane podczas szyfrowania tranzytowego. Wymuszaj protokół HTTPS w dowolnych aplikacjach internetowych i usługach i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.

Dokumentacja: Dane przesyłane w usłudze Databricks

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych platformy w usłudze Databricks

DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza cmK

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: usługa Azure Databricks ma dwie kluczowe funkcje zarządzane przez klienta dla różnych typów danych.

Klucze zarządzane przez klienta na potrzeby szyfrowania

Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.

Dokumentacja: Szyfrowanie danych magazynowanych przy użyciu klucza cmK w usłudze Databricks

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami na platformie Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: nie można użyć osobistego tokenu dostępu usługi Azure Databricks ani tokenu aplikacji Azure AD należącego do jednostki usługi.

Unikanie osobistego tokenu dostępu

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyszane za pomocą identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.

Dokumentacja: Zarządzanie kluczami w usłudze Databricks

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używanie tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.

Dokumentacja: Azure Policy usługi Databricks

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla oferty usług/produktów

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w przypadku rejestrowania inspekcji usługa Azure Databricks udostępnia kompleksowe dzienniki diagnostyczne działań wykonywanych przez użytkowników usługi Azure Databricks, dzięki czemu przedsiębiorstwo może monitorować szczegółowe wzorce użycia usługi Azure Databricks.

Uwaga: dzienniki diagnostyczne usługi Azure Databricks wymagają planu Premium usługi Azure Databricks.

Jak włączyć ustawienia diagnostyczne dla dziennika aktywności platformy Azure

Jak włączyć ustawienia diagnostyczne dla usługi Azure Databricks

Dokumentacja: Dzienniki zasobów w usłudze Databricks

Zarządzanie lukami w zabezpieczeniach i stanem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.

PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Funkcje

Inne wskazówki dotyczące PV-3

Podczas tworzenia klastra usługi Azure Databricks uruchamia on podstawowe obrazy maszyn wirtualnych. Kod użytkownika jest uruchamiany w kontenerach wdrożonych na maszynach wirtualnych. Zaimplementuj rozwiązanie do zarządzania lukami w zabezpieczeniach innych firm. Jeśli masz subskrypcję platformy zarządzania lukami w zabezpieczeniach, możesz użyć skryptów inicjowania usługi Azure Databricks działających w kontenerach na każdym z węzłów, aby zainstalować agentów oceny luk w zabezpieczeniach w węzłach klastra usługi Azure Databricks i zarządzać węzłami za pośrednictwem odpowiedniego portalu. Należy pamiętać, że każde rozwiązanie innej firmy działa inaczej.

Skrypty inicjowania węzła klastra usługi Databricks

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: W przypadku źródeł danych usługi Azure Databricks upewnij się, że skonfigurowano odpowiedni poziom nadmiarowości danych dla danego przypadku użycia. Jeśli na przykład używasz konta usługi Azure Storage dla magazynu danych usługi Azure Databricks, wybierz odpowiednią opcję nadmiarowości (LRS, ZRS, GRS, RA-GRS).

Źródła danych dla usługi Azure Databricks

Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.

Dokumentacja: Regionalne odzyskiwanie po awarii dla klastrów usługi Azure Databricks

Następne kroki